Saltar al contenido principal
Imagen
patrón hexagonal morado

El verdadero negocio

La respuesta rápida es: No, no existe un módulo de seguridad de hardware virtual (HSM). Algunos proveedores de HSM dicen tenerlo, pero "HSM virtual" es un oxímoron. El hecho de que la palabra "hardware" esté en el nombre es fundamental. Hardware significa un dispositivo físico, y "virtual" es lo contrario de físico.

Una de las principales tareas de un HSM es establecer una raíz de confianza para la creación de claves criptográficas seguras. Para llevar a cabo esta tarea, hay que realizar un complicado proceso matemático. El núcleo de este proceso matemático es la creación de un número aleatorio.

Números aleatorios

No todos los números aleatorios son realmente aleatorios. Se han escrito libros sobre este tema, pero basta con decir que, sin un número aleatorio adecuado, la clave creada posteriormente no es segura. Con las tecnologías de que dispone la industria hoy en día, las empresas han creado un generador de números aleatorios basado en el hardware.

Es un chip específicamente diseñado, probado y certificado por el Programa de Validación de Módulos Criptográficos del NIST para producir un número aleatorio seguro. La prueba de la aleatoriedad criptográfica se llama entropía. El software no puede probar adecuadamente la entropía, sólo el hardware puede hacerlo. Sin el número aleatorio creado por el hardware, aumenta el riesgo de que las claves se vean comprometidas.

El resultado final

Las organizaciones preocupadas por la validez de sus claves criptográficas sólo pueden utilizar el hardware. Por lo tanto, un HSM virtual no sería mejor que utilizar la capacidad de procesamiento de un servidor de archivos para crear elementos criptográficos. No se engañe, los HSM virtuales no existen.

HSM as a Service: Ni en las instalaciones, ni tampoco virtual

El hecho de que los HSM sean dispositivos de seguridad físicos y resistentes a la manipulación no significa que tengan que estar en las instalaciones. nShield as a Service ofrece todas las funciones criptográficas y las capacidades de gestión de claves de los HSM de nShield, pero con un modelo de suscripción basado en la nube.

Más información sobre nShield as a Service.